25. studeni 2020.

Sigurnost i privatnost - Na meti hakera sve više i male tvrtke. Kako se zaštititi

Piše: Tino Šokić, stručnjak za kibernetičku sigurnost

Čini vam se da nemate što skrivati ni privatno ni poslovno. Ali zamislite da hakeri napadnu mrežnu stranicu vaše tvrtke. Tako će narušiti ne samo vašu sigurnost i privatnost nego i one vaših posjetitelja. Nakon napada vaša mrežna stranica može svakom posjetitelju distribuirati neželjeni sadržaj ili neku vrstu 'malwarea' koji utječe izravno na posjetitelja. A može biti i mnogo gore ako ne vodite brigu o kibernetičkoj sigurnosti

Vodeća pitanja 21. stoljeća sadrže u sebi dvije riječi – sigurnost i privatnost. Zapravo, kako sačuvati privatnost i istodobno 'ostati siguran'. Mogu slobodno reći da iz tih pojmova proizlazi i neka vrsta paradoksa – sigurnost zahtijeva transparentnost, a time se narušava (čitajte: gubi) privatnost. Prvo bismo trebali definirati, ili demistificirati sigurnost i privatnost – kao pojmove i pojave. Sigurnost je stupanj zaštite ili prostor oslobođen od opasnosti, štete, gubitka i kriminalne aktivnosti.

Ovdje svakako naglašavam kontekst kibernetičke sigurnosti, gdje je navedena definicija možda najprimjerenija i opisuje stanje u kojem treba biti informacijsko-komunikacijski sustav, sa svim pratećim uređajima, programima i na kraju čovjekom koji ga upotrebljava. Sigurnost u tehnološkom aspektu je pojam prilično jasan sam po sebi. Napretkom tehnologije dolazimo i do sve naprednijih tehničkih resursa pomoću kojih se branimo od raznih kibernetičkih napada –​ vatrozidi, napredna antivirusna rješenja, rješenja za enkripciju podataka, posrednički poslužitelji (engl. proxy) i još mnoga rješenja da sada ne nabrajamo.

Google nas ipak prati

Privatnost, onkraj sigurnosti, u današnjem dobu ima široko značenje i često ga je teško definirati, ali ću to pokušati učiniti u već spomenutom kontekstu kibernetičke sigurnosti. Privatnost možemo definirati kao pojam koji zahvaća širi krug značajki osobe koje uzete pojedinačno ne moraju imati neko značenje, ali povezane u postojanu strukturu rezultiraju portretom osobe, za koji najčešće samo ta osoba treba znati. To je možda najbolja definicija do koje sam došao u kontekstu kibernetičke sigurnosti i pojma privatnost. Često je privatnost nešto za što ćemo se tek jako zabrinuti ako je narušeno ili, još gore, ako izgubimo privatnost kakvu poznajemo.

Sada je trenutak kada se vrlo lako možemo uvući u orvelovske priče o 'velikom bratu' koji nas promatra i upravlja svakim našim korakom. Nažalost, to nije jako daleko od istine. Ako gledamo kontekst prodaje, predviđanje vašega digitalnog ponašanja proizlazi djelomično iz narušene privatnosti. Je li vam se ikada dogodilo dok ste s nekim pričali o nečemu, npr. o kućanskom aparatu sušilici, i da se nedugo nakon tog razgovora na zaslonu vašeg mobitela prikazuju reklame kućanskih aparata? Sigurno ste odmah pomislili da vas netko prati, odnosno prisluškuje razgovore i onda sadržaj razgovora propagira putem reklama. Moram reći da to nije baš tako, tj. riječ je o tome da vaš digitalni profil, avatar, alias, kako god to nazvali, postoji, i često se događa da vas na primjer Google poznaje više nego što vi poznajete sami sebe. To možda zvuči grubo ili čak nevjerojatno, ali svrha tih sustava je predvidjeti vaše ponašanje u digitalnom okružju kako bi se u 'pravom' trenutku prikazao 'pravi' oglas.

Zašto na to trošiti

Često kada pričam o kibernetičkoj sigurnosti i privatnosti (engl. privacy), ljudi pomisle da je to problem samo velikih tvrtki i organizacija. Istina je na pola puta, odnosno trenutačno je situacija takva da su napadi na sigurnost i privatnost u velikom porastu prema manjim poduzećima i prema pojedinim osobama. Ako se pitate zašto su 'mali' odlične mete, odgovora ima mnogo. Jedan od njih je zato što manje tvrtke često nemaju proračun i kadrovske resurse da uopće pristupe kibernetičkoj sigurnosti na način na koji bi trebale da se obrane od potencijalnih napada.

Drugi je, a s time se često susrećem, to što informacijsko-komunikacijski sustav i prateći kadar ne prate rast tvrtke. Tvrtka često brzo naraste, iz svega dva ili tri zaposlenika na početku, u dvije godine dođe do veličine od stotinjak ljudi. Informacijsko-komunikacijski sustav to treba pratiti, odnosno potrebno je osigurati sigurnost i privatnost svake osobe i pratećih podataka unutar tvrtke putem tih sustava. Kao što znate, hakeri moraju uspjeti samo jednom, a vi sustav morate obraniti mnogo puta.

Mrežne (web) stranice, e-pošta, dokumenti, slike – to je samo dio pejzaža cijele digitalne slike. Primjerice, imate mrežnu stranicu koja bude meta nekog hakerskog napada. Ovdje već dolazimo do situacije kako narušena sigurnost i privatnost ima daleko veći dohvat, odnosno ne utječe samo na vas, već i na vaše posjetitelje. Zamislite da nakon napada, ili bolje reći nakon incidenta, vaša mrežna stranica svakom posjetitelju distribuira neželjeni sadržaj, ili u najgorem slučaju neku vrstu malwarea koji utječe izravno na posjetitelja. Samim time već imate daleko veći kontekst u pogledu kibernetičke sigurnosti o kojem je potrebno voditi brigu.

Loši argumenti

Ovo je čest odgovor, odnosno argument u raspravi koji dobijem od ljudi koji ne mare toliko za svoju privatnost i sigurnost, ali zato kada se dogodi povreda navedenog, njihov se odnos prema temi nerijetko promijeni. Slažem se da se ne morate brinuti ako ne činite ništa loše, ali možda se neke informacije o vama mogu se iskoristiti kao streljivo za napad na vaše bližnje ili okolinu, što poslovnu, što privatnu dimenziju vašeg života. Zanimljiv je znanstveni rad Andra Pavune 'Paradoks privatnosti: empirijska provjera fenomena', iz 2018. godine. Rezultati tog istraživanja pokazali su diskrepancije između visoke važnosti privatnosti za pojedince i lakoće kojom su je se spremni odreći.

Ovakvih istraživanja u Hrvatskoj nema mnogo, a izvrsni su pokazatelji koliko lako se odričemo sigurnosti i privatnosti u svrhu uživanja online usluga – što za zabavu, što za lakše postizanje poslovnih ciljeva. Još jedan primjer za temu paradoksa. Zamislite da u velikoj tvrtki prestane raditi sustav za e-poštu, sustav na kojem prodaja temelji dio svojih prihoda jer joj je on aktivan alat za obavljanje poslovnih zadataka. Bi li se u tom slučaju koristila privatnim e-adresama u svrhu dostave ponuda, ugovora, faktura i sličnih (očito) ne javnih informacija? Neki će to učiniti, posebno danas kada se mnogo radi od kuće, a takve informacije na nezaštićenom kućnom uređaju mogu izazvati veliku štetu tvrtki. Jako je važno znati s čime radimo i koje posljedice određeni alati mogu imati, jer ljudi, ako imaju mogućnost odabira između lakoće korištenja i sigurnosti, u velikom broju slučajeva izabrat će lakoću korištenja – i privatno i poslovno.